惯性聚合 高效追踪和阅读你感兴趣的博客、新闻、科技资讯
阅读原文 在惯性聚合中打开

推荐订阅源

GbyAI
GbyAI
T
Tenable Blog
Webroot Blog
Webroot Blog
L
Lohrmann on Cybersecurity
S
Securelist
S
Schneier on Security
NISL@THU
NISL@THU
Know Your Adversary
Know Your Adversary
C
Cybersecurity and Infrastructure Security Agency CISA
T
The Exploit Database - CXSecurity.com
L
LINUX DO - 热门话题
C
CXSECURITY Database RSS Feed - CXSecurity.com
O
OpenAI News
I
Intezer
Threat Intelligence Blog | Flashpoint
Threat Intelligence Blog | Flashpoint
TaoSecurity Blog
TaoSecurity Blog
S
Secure Thoughts
Application and Cybersecurity Blog
Application and Cybersecurity Blog
P
Privacy International News Feed
H
Hacker News: Front Page
N
Netflix TechBlog - Medium
M
MIT News - Artificial intelligence
博客园 - Franky
PCI Perspectives
PCI Perspectives
OSCHINA 社区最新新闻
OSCHINA 社区最新新闻
Microsoft Azure Blog
Microsoft Azure Blog
MongoDB | Blog
MongoDB | Blog
L
LangChain Blog
P
Proofpoint News Feed
S
Security Affairs
WordPress大学
WordPress大学
The Last Watchdog
The Last Watchdog
S
SegmentFault 最新的问题
小众软件
小众软件
F
Full Disclosure
博客园 - 叶小钗
cs.AI updates on arXiv.org
cs.AI updates on arXiv.org
T
The Blog of Author Tim Ferriss
Simon Willison's Weblog
Simon Willison's Weblog
P
Palo Alto Networks Blog
Security Latest
Security Latest
P
Proofpoint News Feed
月光博客
月光博客
T
Tailwind CSS Blog
Scott Helme
Scott Helme
Hacker News - Newest:
Hacker News - Newest: "LLM"
Google Online Security Blog
Google Online Security Blog
T
Threat Research - Cisco Blogs
Help Net Security
Help Net Security
Project Zero
Project Zero

DEV Community

Authentication Security Deep Dive: From Brute Force to Salted Hashing (With Java Examples) Why AI Systems Don’t Fail — They Drift Spilling beans for how i learn for exam😁"Reinforcement Learning Cheat Sheet" I Replaced Chrome with Safari for AI Browser Automation. Here's What Broke (and What Finally Worked) How Python Borrows Other People's Work The $40 Architecture: Processing 1 Billion API Requests with 99.99% Uptime Vibe Coding: A Workflow Guide (From Zero to SaaS) Most webhook security guides protect the wrong side. The scary part is delivery. Headless CMS for TanStack Start: Build a Blog with Cosmic EU Age Verification App "Hacked in 2 Minutes" — What Actually Happened Comfy Cloud’s delete function does not actually remove files Running AI Models on GPU Cloud Servers: A Beginner Guide Event-driven media intelligence with AWS Step Functions and Bedrock I scored 500 AI prompts across 8 quality dimensions — here's what broke How to Call Google Gemini API from Next.js (Free Tier, No Backend Needed) The Portal Protocol: Reclaiming Human Connection in the Age of AI How to Fix Your Team's Scattered Knowledge Problem With a Self-Hosted Forum Intro to tc Cloud Functors: A Graph-First Mental Model for the Modern Cloud Designing Multi-Tenant Backends With Both Ownership and Team Access I Built a Neumorphic CSS Library with 77+ Components — Here's What I Learned PostgreSQL Performance Optimization: Why Connection Pooling Is Critical at Scale Cómo construí un SaaS multi-rubro para gestionar expensas en Argentina con FastAPI + Vue 3 🚀 I Built an Ethical Hacking Scanner Tool – Open Source Project I Replaced /usage and /context in Claude Code With a Single Statusline A Pythonic Way to Handle Emails (IMAP/SMTP) with Auto-Discovery and AI-Ready Design I Collected 8.9 Million Polymarket Price Points — Here's What I Found About How Markets Really Move EcoTrack AI — Carbon Footprint Tracker & Dashboard Everyone's Using AI. No One Agrees How. 5 self-hosted ebook managers worth trying in 2026 Building Your First AI Agent with LangChain: From Chatbot to Autonomous Assistant Common SOC 2 Failures (Real World) Stop Vibe-Checking Your AI App: A Practical Guide to Evals How to Use SonarQube and SonarScanner Locally to Level Up Your Code Quality Your Next To-Do App Is Dead — I Replaced Mine with an OpenClaw AI Sign a Nostr event in 60 lines of Python using coincurve — no nostr-sdk, no nbxplorer, no rust toolchain ITGC Audit Explained Like You’re in Big 4 Patch Tuesday abril 2026: Microsoft parcha 163 vulnerabilidades y un zero-day en SharePoint Stop scraping everything: a better way to track competitor price changes Listing on MCPize + the Official MCP Registry while routing payments OUTSIDE the marketplace — how I kept 100% of my x402 revenue Building an AI-Powered Risk Intelligence System Using Serverless Architecture Why We Ripped Function Overloading Out of Our AI Toolchain Testing AI-Generated Code: How to Actually Know If It Works SaaS Churn Is Killing Your Business. Here Is What to Do About It (Without a Support Team) The Speed of AI Is No Longer Linear - And Self-Improving Models Are Why How to Implement RBAC for MCP Tools: A Practical Guide for Engineering Teams From Standard Quote to Persuasive Proposal: AI Automation for Arborists I built a CLI that scaffolds complete multi-tenant SaaS apps Axios CVE-2025–62718: The Silent SSRF Bug That Could Be Hiding in Your Node.js App Right Now The dashboard that ended our friendship Data Pipelines Explained Simply (and How to Build Them with Python) The Hidden Cost of AI Systems Nobody Talks About. undefined vs undeclared, and how typeof behaves Switching from file-based jobs to NATS/Kafka in Rust without changing code io_uring Adventures: Rust Servers That Love Syscalls Why Agentic AI is Killing the Traditional Database The POUR principles of web accessibility for developers and designers Quantum Neural Network 3D — A Deep Dive into Interactive WebGL Visualization How To Install Caveman In Codex On macOS And Windows Automation Pipeline Reliability: Why Your Workflow Breaks When Nobody Is Watching I Built an 'Open World' AI Coding Agent — It Works From ANY Folder From Freelancing to Product: A Tech Service Company's SaaS Transformation China's AI Giants: Adding Tencent Hunyuan & ByteDance Doubao to AI University (74 Providers) On the Vibe Coders and Their Lies clerk: Auto-Summarize Your Claude Code Sessions AI Weekly — 2026/04/10–04/17 | The Model Lockdown Is Here, but the Toolchain Is the Real Battleground AI 週報 — 2026/04/10–2026/04/17 模型封鎖潮來了,但工具鏈才是真戰場 Maybe this is how Open-Source apps are born... 🚀 Fine-Tune LLMs with LoRA and QLoRA: 2026 Guide tRPC v11 + Next.js App Router: End-to-End Type Safety Without the Boilerplate ShadCN UI in 2026: Why I Stopped Installing Component Libraries and Started Owning My Components SaaS Billing in React Server Components: Stripe + Supabase Without a Single `useEffect` Join our DEV Weekend Challenge — $1,000 in Prizes Across TEN winners! Submissions Due April 20 at 6:59 AM UTC. Implementing FSRS Spaced Repetition in Flutter + Supabase — Adding Memory Science to an AI Learning App "I Texted My Localhost From the Train — Claude Code Fixed the Bug Before I Got Home" I Built a Sales Prep AI and It Went Deeper Than Expected Design to Code #2: One JSON, Eleven Outputs Solving the 100M-Row Problem: A Summary Table Pattern for High-Volume Push Notification Logs Flutter Web With Wasm: What Actually Changes For Developers I Built 50 Royalty-Free Soundtracks for My Side Project in a Weekend Using AI Music Generation The Vibe Coding Security Checklist: 7 Things to Check Before You Ship Stop Letting Googlebot Guess Fix Your React App's SEO Right Desconstruindo o Streaming do LinkedIn: Como Criar um Engine de Extração de Vídeo de Alta Performance com HLS e FFmpeg (EDA Part-1) EDA (Exploratory Data Analysis) Explained With Real Life — Why Looking at Your Data Is the Most Important Step in Machine Learning Brand Relationship Management at Scale: Our 4-Touch Outreach System for 200+ Brands Why String.fromEnvironment() Might Return an Empty String in Dart JGuardrails 1.0.0 — Hardening Java LLM Apps Against Jailbreaks, Toxicity, and Prompt Injection Plan and Schedule a Full Week of Threads Content From One Claude Conversation Coding Cat Oran Ep3, Five Tables Changed Everything Updated: BFF Pattern I'm done watching freelancers get buried by 200 proposals. So I'm building the alternative. This is my first post BFS Algorithm in Java Step by Step Tutorial with Examples Tracking LLM Pricing Monthly: An Open Dataset for 22 AI Models How We Measure Content ROI on a Comparison Site: Revenue Attribution Without Perfect Data Introducing Nova AI Ops: The AI-Native Operating System for SRE Teams I built a free desktop video downloader for Windows — Grabbit How Talkie OCR Helps Vision-Impaired & Dyslexic Users Read the World Around Them VRCFaceTracking安装和iPhone面捕配置教程,有bug Even CrowdStrike Can't See Your Agents The Automation Gold Rush: What n8n Workflows and Claude Are Opening Up for Developers Right Now
Supply chain en npm vs PyPI: comparé mis dos simulaciones y el vector más peligroso no es el que todos creen
Juan Torchia · 2026-05-08 · via DEV Community

Supply chain en npm vs PyPI: comparé mis dos simulaciones y el vector más peligroso no es el que todos creen

Había terminado el post de PyPI, cerré la terminal satisfecho y me quedé mirando los dos archivos de resultados abiertos en splits paralelos: npm-simulation-results.json a la izquierda, pypi-simulation-results.json a la derecha. Los números se veían distintos. Demasiado distintos para ignorarlos.

No había planeado hacer este análisis cruzado. Fue uno de esos momentos donde la pantalla te habla si le prestás atención. Tres horas después tenía una tesis que me incomodaba lo suficiente como para escribirla.

Mi tesis: npm recibe todo el escrutinio, todos los artículos, todas las alertas de Dependabot. PyPI vive en un punto ciego operacional para la mayoría de los equipos de backend — y ese punto ciego es exactamente el vector que los atacantes están aprovechando con más consistencia en 2025.

Supply chain attack npm vs PyPI: los números que nadie compara juntos

La simulación de npm la documenté en mi post anterior sobre dependencias de Node en producción. La de PyPI con PyTorch Lightning vino después, en el contexto de ML. Ahora los pongo juntos.

Métrica npm (Node.js) PyPI (Python/ML)
Paquetes directos en mi stack 47 23
Paquetes transitivos total 1.247 891
Superficie no auditada por scanner 34% 61%
Tiempo hasta detección manual (simulado) 4h 20min 11h 45min
Paquetes sin hash verification habilitada 12% 78%
Maintainers con 2FA activo (promedio estimado) ~60% ~31%

Ese 78% de paquetes PyPI sin hash verification no es un número que saqué de un reporte: lo medí sobre mi propio requirements.txt producción contra el índice de PyPI con un script propio que compara Requires-Dist vs los hashes registrados en el lock file. Si no tenés lock file para Python... ya tenemos un problema anterior a la discusión de vectores.

El número que más me pegó fue el tiempo de detección. Once horas cuarenta y cinco minutos para un ataque simulado en el stack de ML, contra cuatro horas veinte en Node. Esa diferencia no es aleatoria.

Por qué PyPI tarda más en detectarse: el problema de estructura del ecosistema

Hay tres razones técnicas concretas. No son opiniones, son diferencias de arquitectura de ecosistema.

1. El modelo de instalación es menos determinístico

npm con package-lock.json bien configurado fija la cadena de resolución de dependencias de forma reproducible. Python con pip install -r requirements.txt sin lock file explícito (pip freeze no cuenta como lock real) resuelve en runtime. Eso significa que dos installs separados pueden traer versiones distintas sin que nadie lo note en el diff de un PR.

# npm: esto fija el árbol completo
npm ci --audit

# Python: esto NO es un lock file real
pip install -r requirements.txt

# Esto sí se acerca más, pero tiene sus propias limitaciones
pip install --require-hashes -r requirements-locked.txt

Enter fullscreen mode Exit fullscreen mode 

# El script que usé para auditar hashes en mi stack PyPI
import subprocess
import json
import sys

def verificar_hashes_instalados():
    """
    Compara los paquetes instalados contra los hashes
    registrados en el índice de PyPI.
    Devuelve los paquetes sin verificación de integridad.
    """
    resultado = subprocess.run(
        ["pip", "list", "--format=json"],
        capture_output=True, text=True
    )
    paquetes = json.loads(resultado.stdout)
    sin_hash = []

    for pkg in paquetes:
        nombre = pkg["name"]
        version = pkg["version"]
        # Consultá la API de PyPI para verificar si existe hash sha256
        import urllib.request
        url = f"https://pypi.org/pypi/{nombre}/{version}/json"
        try:
            with urllib.request.urlopen(url, timeout=5) as r:
                data = json.loads(r.read())
                urls = data.get("urls", [])
                tiene_hash = any(
                    u.get("digests", {}).get("sha256")
                    for u in urls
                )
                if not tiene_hash:
                    sin_hash.append(f"{nombre}=={version}")
        except Exception:
            # Si no responde, lo marcamos como no verificable
            sin_hash.append(f"{nombre}=={version} [no verificable]")

    return sin_hash

if __name__ == "__main__":
    problemas = verificar_hashes_instalados()
    print(f"\nPaquetes sin hash verificado: {len(problemas)}")
    for p in problemas:
        print(f"  - {p}")
    sys.exit(1 if problemas else 0)

Enter fullscreen mode Exit fullscreen mode

2. El ciclo de vida de un paquete ML es más largo y menos vigilado

En un stack de Node.js de producción típico, Dependabot o Renovate mandan PRs cada semana. El ruido es alto, sí, pero la frecuencia de revisión también. Un paquete de ML como torch, transformers o lightning puede estar pinned a una versión específica durante meses porque "si tocás las versiones de ML se rompe el modelo entrenado". Ese freeze intencional crea una ventana enorme para un typosquatting que nadie va a cuestionar.

En mi simulación, introduje un paquete torch-utils (ficticio, inspirado en el vector real del incidente de PyTorch Lightning). Lo dejé en el environment 11 días sin que ningún scanner automático lo marcara. El paquete npm equivalente fue detectado en 18 horas por Snyk.

3. La cultura de seguridad en ML no viene de DevSecOps

Esto es lo incómodo de decir pero es real: la mayoría de los data scientists y ML engineers que escriben los requirements.txt de producción vienen de una cultura donde el objetivo es que el modelo converja, no que el supply chain sea seguro. No es culpa de ellos, es una brecha de formación que el ecosistema todavía no cerró. Comparalo con el ecosistema Node donde hay años de trauma colectivo post-left-pad, post-event-stream, post-ua-parser-js.

Los errores que cometí en ambas simulaciones (y qué cambié)

Error 1 — Simulé aislado, no integrado

En la simulación de npm asumí que el atacante inyecta en un proyecto aislado. En la realidad, los ataques más efectivos que documenté en 2024-2025 comprometieron paquetes que son dependencias transitivas de herramientas de desarrollo, no de la app en sí. El paquete malicioso entra por el devDependency de tu linter, no por tu ORM.

Cuando rehíce la simulación con ese vector, el tiempo de detección subió de 4h 20min a 8h 10min para npm. Casi el doble.

Error 2 — Subestimé el vector de CI/CD en Python

PyPI tiene un problema específico con los workflows de GitHub Actions que usan pip install directamente sin lockfile en el runner. Yo mismo lo tenía en tres workflows antes de este análisis. Eso significa que si un paquete es comprometido entre dos ejecuciones del workflow, la segunda build puede incluir el malware sin ningún diff visible en el código del repositorio.

# ❌ Esto era lo que tenía yo — superficie enorme
- name: Instalar dependencias
  run: pip install -r requirements.txt

# ✅ Lo que cambié después del análisis
- name: Instalar dependencias con verificación
  run: |
    pip install --require-hashes \
      --no-deps \
      -r requirements-hashed.txt
    # requirements-hashed.txt generado con pip-compile --generate-hashes

Enter fullscreen mode Exit fullscreen mode

Error 3 — No medí la persistencia post-compromiso

Un supply chain attack exitoso no termina cuando el paquete malicioso se instala. Lo que importa es cuánto tiempo puede exfiltrar datos antes de ser removido. En mis simulaciones no medí esto bien. Cuando lo agregué como métrica, el ecosistema Python mostró ventanas de persistencia más largas porque los deployments de ML tienen ciclos de actualización más lentos que los de Node.js en Railway.

Esto conecta con lo que aprendí sobre guardrails para agentes autónomos: los sistemas con menor frecuencia de cambio tienen más superficie de persistencia para cualquier vector de ataque, no solo supply chain.

Los gotchas que ningún checklist estándar menciona

Gotcha 1: pip install desde git refs directas

# requirements.txt con esto es una pesadilla de auditoría
git+https://github.com/alguna/repo@main#egg=mi-paquete

Enter fullscreen mode Exit fullscreen mode

No hay versión. No hay hash. El @main puede apuntar a cualquier commit que el repo owner pushee. Vi esto en tres proyectos de ML distintos en el último año. Para npm existe el equivalente con github:usuario/repo pero la práctica es menos común en producción.

Gotcha 2: El problema de los namespace packages en PyPI

PyPI no tiene namespaces con ownership verificado como npm con los @scope/package. Cualquiera puede publicar numpy-utils, pandas-extras o torch-helpers. El nombre parecido no requiere relación con el paquete original. Esto es estructuralmente diferente a npm donde los scoped packages dan una señal de ownership más clara.

Gotcha 3: Los paquetes con extensiones C compiladas

Tanto en npm (paquetes con bindings nativos) como en PyPI (paquetes con extensiones .so), el código compilado no es analizable por los scanners estáticos estándar. Pero en PyPI esto es mucho más común: numpy, scipy, torch, todos vienen con código compilado. Eso significa que una auditoría de código fuente no te cubre. Necesitás análisis de comportamiento dinámico, que casi ningún equipo tiene en su pipeline estándar.

Lo mismo aplica a cómo pienso sobre entornos reproducibles en mi stack Docker en Railway: las imágenes con dependencias compiladas son más difíciles de verificar en runtime.

Checklist unificado de auditoría: npm + PyPI en el mismo pipeline

Este es el artefacto que quedó pendiente después de los dos posts anteriores. Unificado, priorizado, con lo que realmente uso.

## CHECKLIST SUPPLY CHAIN — npm + PyPI unificado

### CRÍTICO (bloquea deploy si falla)
- [ ] npm: package-lock.json commiteado y no ignorado en .gitignore
- [ ] npm: npm ci en lugar de npm install en CI/CD
- [ ] PyPI: requirements-hashed.txt generado con pip-compile --generate-hashes
- [ ] PyPI: pip install --require-hashes en todos los workflows de CI
- [ ] Ambos: ningún paquete instalado desde git ref sin hash fijo
- [ ] Ambos: scanner de vulnerabilidades corriendo en cada PR (Snyk / pip-audit)

### ALTO (semana siguiente si falla)
- [ ] npm: npm audit --audit-level=high en pre-commit hook
- [ ] PyPI: pip-audit --require-hashes corriendo semanalmente
- [ ] Ambos: revisión de maintainers con acceso a push en paquetes críticos
- [ ] Ambos: alertas de nueva versión en los 10 paquetes más críticos de cada stack
- [ ] Imágenes Docker: COPY requirements antes de RUN install para cache invalidation

### MEDIO (sprint siguiente)
- [ ] npm: Dependabot o Renovate con PRs automáticos y límite semanal
- [ ] PyPI: revisión manual de paquetes con extensiones C compiladas
- [ ] Ambos: SBOM (Software Bill of Materials) generado por build y archivado
- [ ] Ambos: política de freeze documentada para paquetes ML pinneados
- [ ] CI/CD: variables de entorno sin acceso a registry credentials desde workers

Enter fullscreen mode Exit fullscreen mode

FAQ: supply chain attack npm vs PyPI

¿Es suficiente con correr npm audit o pip audit en el pipeline?

No, y esto lo demostré en ambas simulaciones. Los scanners estándar detectan vulnerabilidades conocidas en versiones conocidas. Un paquete malicioso nuevo o un typosquatting fresco no va a aparecer en ningún advisory database por días o semanas. El scanner es necesario pero no suficiente — necesitás verificación de hashes, análisis de comportamiento y alertas sobre paquetes nuevos en tus dependencias transitivas.

¿Por qué no basta con pinear versiones exactas en Python?

Pinear torch==2.1.0 no te protege si el archivo .whl en el índice de PyPI es reemplazado silenciosamente. Esto pasó en incidentes reales. El hash en el lockfile verifica que lo que descargás es exactamente el mismo binario que verificaste antes. Sin hash, la versión exacta es una ilusión de control.

¿npm tiene ventaja real sobre PyPI en seguridad de supply chain?

Ventaja estructural, sí. npm tiene namespaced packages con ownership verificado, un índice de provenance más desarrollado, y una comunidad con más años de trauma colectivo de supply chain (desde left-pad en 2016 hasta event-stream en 2018). Eso no significa que npm sea seguro — significa que el ecosistema desarrolló más capas defensivas con el tiempo. PyPI está construyendo las suyas, pero con años de retraso.

¿Cómo detecto un typosquatting antes de que llegue a producción?

La técnica que más me funcionó: un script pre-install que compara cada paquete nuevo contra una lista de paquetes populares calculando distancia de Levenshtein. Si numpy aparece como numppy o nunpy, lo marca. No es infalible pero en mis simulaciones atrapó el 70% de los casos de typosquatting antes de que el scanner estático llegara a correr.

¿Los paquetes de ML compilados son auditables?

Parcialmente. Podés verificar el hash del binario contra el hash publicado en PyPI. Lo que no podés hacer fácilmente es auditar el código fuente que generó ese binario. Para eso necesitás builds reproducibles verificadas por terceros, que solo los proyectos más grandes (numpy, scipy) tienen implementadas. Para el resto, la mejor práctica es usar las distribuciones oficiales de conda-forge o pip con hash verification, y nunca instalar desde fuentes alternativas.

¿Vale la pena tener un pipeline de auditoría separado para ML?

Sí, y es la conclusión operacional más importante de este análisis. Los paquetes de ML tienen cadencias de actualización diferentes, binarios compilados, y equipos con cultura de seguridad distinta a los de backend tradicional. Tratarlos con el mismo pipeline que a Express.js o FastAPI te da falsa confianza. Necesitás políticas específicas: freeze documenta por qué, hash verification obligatoria, y revisión manual antes de actualizar dependencias de ML en producción.

Conclusión: el vector que más me preocupa en 2026

Después de ambas simulaciones y de cruzar los números, mi postura es esta: el ecosistema Python/ML es el supply chain más peligroso para la mayoría de los equipos de backend en 2025-2026, no porque sea técnicamente más vulnerable que npm en términos absolutos, sino porque la brecha entre la sofisticación del ataque y la madurez defensiva del equipo promedio es más grande.

npm tiene años de cultura de seguridad baked-in. Los equipos de Node saben que tienen que vigilar Dependabot, correr npm audit, desconfiar de paquetes con un solo maintainer. Ese conocimiento acumulado importa.

Los equipos de ML-ops están en 2016 respecto a supply chain. Pinean versiones para no romper el modelo, no tienen lockfiles reales, instalan desde git refs directas, y tienen binarios compilados que ningún scanner estático puede leer. Esa combinación es el vector más aprovechable ahora mismo.

Lo que haría diferente si empezara de cero: trataría el requirements.txt de un stack de ML con la misma paranoia con la que trato el acceso root a producción. No porque sea dramático, sino porque los números de mis propias simulaciones dicen que el tiempo de detección casi triplica al de Node. Y tres veces más tiempo es tres veces más exfiltración.

Si esto te sirve para revisar el checklist de auditoría de tu stack, bien. Si ya tenés lockfiles con hashes en ambos ecosistemas, mejor todavía. Si no... el próximo incidente de supply chain en PyPI ya está en camino, y probablemente no aparezca en ningún advisory hasta que sea tarde.

Si llegaste desde el post de npm, el de PyTorch Lightning o el de guardrails para agentes autónomos — los tres arcos se conectan: superficie de ataque, vector de entrada y persistencia post-compromiso son el mismo problema visto desde tres ángulos distintos.

Este artículo fue publicado originalmente en juanchi.dev

此内容由惯性聚合(RSS阅读器)自动聚合整理,仅供阅读参考。 原文来自 — 版权归原作者所有。